Plusieurs centaines de clients de Cdiscount escroqués après un piratage de leurs coordonnées bancaires

Sept personnes ont été arrêtées dans la Drôme, soupçonnées d'avoir récupéré des centaines de coordonnées bancaires de clients de Cdiscount.com. Elles auraient ensuite effectué des achats pour leur compte. Le site conteste toute faille dans sa sécurité.

A l'approche de Noël, la nouvelle s'avère plutôt embarrassante pour le commerce en ligne: pas moins de 491 clients du site Cdiscount.com ont déposé plainte, depuis le mois de juin, après avoir vu leurs coordonnées bancaires détournées par une bande organisée de pirates informatiques.

Ces derniers ont mené une opération dire de "phishing" consistant à envoyer des faux emails sur les boîtes de clients, en se faisant passer pour Cdiscount.com, et en leur demandant, via un formulaire, de communiquer leur coordonnées bancaires. Les clients floués communiquent alors ces informations en ne sachant pas qu'il s'agit de pirates à l'autre bout de la connexion.

Grâce aux centaines de coordonnées ainsi récupérées, les malfaiteurs ont acheté sur d'autres sites de vente en ligne pour plus de 300.000 euros de marchandises, principalement des objets high-tech, en puisant parmi la masse de comptes auxquels ils avaient accès.

Une opération policière a fini par les localiser. Sept personnes ont été arrêtées mardi 12 à Valence, Bourg-lès-Valence et Loriol-sur-Drôme, trois communes de Drôme. C'est dans ce département que l'ensemble des objets acheté étaient livrés, dans des "points relais", des commerces ayant comme activité annexe de servir de dépôts pour les livraisons de colis.

Lire aussi: Piratage massif de données de clients: l'UE charge Uber

Soupçonné dans un premier temps d'une faille dans sa sécurité informatique, Cdiscount a tenu à préciser que c'est bien l'opération de "phishing" qui a permis de récupérer les coordonnées bancaires, et non pas un piratage direct du site (où ces coordonnées sont également stockées). L'entreprise a d'ailleurs porté plainte contre X.